Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling « Gezondheid»
SCSZ/11/049
AANBEVELING NR 11/01 VAN 19 APRIL 2011 BETREFFENDE HET TOEGANGSRECHT VAN DE PATIËNT TOT DE BESTEMMELINGEN VAN ZIJN MEDISCHE DOSSIER
De afdeling gezondheid van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid (hierna “het Sectoraal Comité” genoemd),
Gelet op de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid;
Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens;
Gelet op de wet van 22 augustus 2002 betreffende de rechten van de patiënt;
Gelet op de aanvraag van het Centre Hospitalier Universitaire van Luik;
Gelet op het auditoraatsrapport van het eHealth-platform van 5 april 2011;
Gelet op het verslag van de heer Yves Roger;
Beveelt op 19 april 2011, na beraadslaging, het volgende aan:
I . INLEIDING
1. De controledienst inzake de toegangen tot de medische dossiers van het Centre Hospitalier Universitaire van Luik (hierna “CHU van Luik”of “ziekenhuis” genoemd) heeft een vraag aanhangig gemaakt bij het Sectoraal Comité omtrent de gegevens uit het medische dossier die de patiënt mag krijgen.
2. Het elektronische medische dossier dat binnen het CHU van Luik werd geïmplementeerd, is voor verschillende categorieën van personeel (geneesheren, verplegend personeel, administratief personeel, … ) toegankelijk op basis van de therapeutische of administratieve relatie tussen het dossier en het personeelslid bij de uitoefening van zijn beroepsactiviteit. Er dient ook te worden opgemerkt dat er binnen het ziekenhuis controleprocedures bestaan waarbij er wordt nagegaan of de toegangen in overeenstemming zijn met de wettelijke regels. Er worden sancties genomen in geval van overtreding van deze regels.
3. De aan het Sectoraal Comité gestelde vraag kan als volgt worden geformuleerd: moet het ziekenhuis bij een verzoek van een patiënt om zijn elektronische medische dossier te raadplegen, toegang verlenen tot de identiteit van de personeelsleden die toegang hebben gekregen tot het dossier of moet het zich beperken tot het vermelden van de personeelscategorieën die er theoretisch toegang toe hebben?
II. BEVOEGDHEID
4. Krachtens artikel 46, § 2 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid1 wordt de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid belast met het verzekeren van het toezicht op de naleving van de door of krachtens de wet vastgestelde bepalingen tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die de gezondheid betreffen.
Daarbij kan zij alle aanbevelingen formuleren die zij nuttig acht.
III. BEHANDELING
5. Voor elke patiënt wordt er een medisch dossier geopend in een ziekenhuis2. Dit dossier moet minstens de volgende documenten en inlichtingen bevatten: de identiteit van de patiënt, familiale en persoonlijke antecedenten, de huidige ziektegeschiedenis, de gegevens der voorgaande raadplegingen en hospitalisaties, de uitslagen van de klinische, radiologische, biologische, functionele en histo-pathologische onderzoeken;
de adviezen van de geconsulteerde geneesheren; de voorlopige en definitieve diagnose ; de ingestelde behandeling; bij een chirurgische ingreep, het operatief protocol en het anesthesieprotocol; de evolutie van de aandoening; het verslag van een eventuele lijkschouwing; een afschrift van het ontslagverslag; voor elke transfusie het toegediende labiel bloedproduct met eenheid- of lotnummer, de datum en het uur van toediening, de toedieners (arts en verpleegkundige), de indicatie voor de transfusie, de eventuele reacties en een klinische en/of biologische evaluatie van de doeltreffendheid van de interventie3.
1 Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990, p. 3288.
2 Zoals bedoeld in artikel 2 van de wet op de ziekenhuizen, gecoördineerd op 7 augustus 1987.
3 Art. 2 van het koninklijk besluit houdende bepaling van de algemene minimumvoorwaarden waaraan het medisch dossier, bedoeld in artikel 15 van de wet op de ziekenhuizen, gecoördineerd op 7 augustus 1987, moet voldoen.
6. Het medische dossier mag worden bijgehouden en bewaard in een elektronische vorm, mits voldaan wordt aan alle voorwaarden zoals vastgelegd in het koninklijk besluit houdende bepaling van de algemene minimumvoorwaarden waaraan het medisch dossier, bedoeld in artikel 15 van de wet op de ziekenhuizen, gecoördineerd op 7 augustus 1987, moet voldoen4.
7. Overeenkomstig punt 9quater van bijlage A van het koninklijk besluit van 23 oktober 1964 tot bepaling van de normen die door de ziekenhuizen en hun diensten moeten worden nageleefd5, dient elk ziekenhuis, voor wat betreft de verwerking van persoonsgegevens die betrekking hebben op patiënten, in het bijzonder medische gegevens, te beschikken over een reglement voor de bescherming van de persoonlijke levenssfeer. Dit reglement dient onder meer voor iedere verwerking de categorieën van personen te vermelden die toegang hebben tot of gemachtigd zijn tot het verkrijgen van de persoonsgegevens van medische aard van de verwerking.
8. Artikel 9, § 2 van de wet van 22 augustus 2002 betreffende de rechten van de patiënt6 bepaalt dat de patiënt recht heeft op inzage in het hem betreffende patiëntendossier. De persoonlijke notities van een beroepsbeoefenaar en gegevens die betrekking hebben op derden zijn uitgesloten van het recht op inzage. Op zijn verzoek kan de patiënt zich laten bijstaan door of zijn inzagerecht uitoefenen via een door hem aangewezen vertrouwenspersoon. Indien deze laatste een beroepsbeoefenaar is, heeft hij ook inzage in de persoonlijke notities.
9. Al is het toegangsrecht van de patiënt tot zijn medische dossier voorzien in de voormelde wet van 22 augustus 2002, het vindt tevens zijn oorsprong in het verlengde van de privacybescherming waardoor iedereen het recht heeft om kennis te nemen van de persoonsgegevens die hem aanbelangen. In artikel 10, § 2 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens7 is immers voorzien dat “onverminderd hetgeen is bepaald in artikel 9, § 2, van de wet van 22 augustus 2002 betreffende de rechten van de patiënt, elke persoon het recht heeft om hetzij op rechtstreekse wijze hetzij met behulp van een beroepsbeoefenaar in de gezondheidszorg kennis te krijgen van de persoonsgegevens die betreffende zijn gezondheid worden verwerkt”.
10. In de wetgeving wordt de vraag van het eventueel informeren van de patiënt over de identiteit van diegenen die toegang hebben tot zijn medische dossier niet duidelijk besproken. Duidelijkheidshalve en om de patiënt gerust te stellen en hem te laten weten wat er juist met zijn gegevens gebeurt, blijkt het nuttig dat de patiënt zou kunnen worden ingelicht over de identiteit van diegenen die toegang hebben tot zijn dossier en over de datum waarop deze toegang heeft plaatsgevonden. Dergelijke werkwijze is bovendien een bijkomend doeltreffend middel om na te gaan of de gegevens uit de elektronische medische dossiers wel wettelijk worden gebruikt.
4 Koninklijk besluit houdende bepaling van de algemene minimumvoorwaarden waaraan het medisch dossier, bedoeld in artikel 15 van de wet op de ziekenhuizen, gecoördineerd op 7 augustus 1987, moet voldoen, B.S. 30 juli 1999, p. 28462.
5 Koninklijk besluit van 23 oktober 1964 tot bepaling van de normen die door de ziekenhuizen en hun diensten moeten worden nageleefd, B.S., 7 nov. 1964.
6 Wet van 22 augustus 2002 betreffende de rechten van de patiënt.
7 Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, B.S., 18 maart 1993, p. 05801.
11. Ook al is het duidelijk dat een onder elektronische vorm bewaard medisch dossier aanzienlijke mogelijkheden biedt voor de medische behandeling, kan er ook misbruik van dit systeem worden gemaakt in geval van onbevoegde toegang. Het ziekenhuis moet er dus voor zorgen dat er doeltreffende veiligheidsmaatregelen worden geïmplementeerd.
12. Vooreerst moet het ziekenhuis overeenkomstig het in de voormelde wet van 8 december 1992 bepaalde ervoor zorgen dat de verwerking van persoonsgegevens betreffende de gezondheid geschiedt onder het toezicht en de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg. Hoewel dit strikt genomen niet wordt vereist in de wetgeving, verdient het volgens het Sectoraal Comité de voorkeur dat dergelijke gegevens worden verwerkt onder de verantwoordelijkheid van een geneesheer8.
13. Bovendien moet het ziekenhuis krachtens artikel 16, § 4 van de voormelde wet van 8 december 1992 alle gepaste technische en organisatorische maatregelen treffen om het verlies van gegevens, de ongeoorloofde wijziging of verwerking van gegevens en de niet- toegelaten toegang tot de gegevens in het systeem te voorkomen. Het passende beveiligingsniveau moet worden gewaarborgd rekening houdend, enerzijds, met de stand van de techniek ter zake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's.
14. Om de vertrouwelijkheid en de veiligheid van de gegevensverwerking te garanderen, moet iedere instelling die persoonsgegevens bewaart, verwerkt of meedeelt maatregelen nemen in de volgende tien actiedomeinen die betrekking hebben op de informatieveiligheid: veiligheidsbeleid; aanstelling van een veiligheidsconsulent;
organisatie en menselijke aspecten van de beveiliging (vertrouwelijkheidsplicht van het personeel, informatie aan het personeel en regelmatige opleidingen van het personeel over het thema van de privcaybescherming en over de veiligheidsmaatregelen); fysieke beveiliging van de omgeving; beveiliging van de netwerken; logische beveiliging van de toegangen en van de netwerken; logging, opsporing en analyse van de toegangen; toezicht, nazicht en onderhoud, systeem voor beheer van veiligheidsincidenten en van de continuïteit (systeem voor foutentolerantie, back-upsysteem, ...), documentatie9.
15. Om elk misbruik te voorkomen, meent het Sectoraal Comité dat er tevens technische en organisatorische maatregelen dienen te worden getroffen om de vertrouwelijkheid van de veiligheidsloggings te waarborgen. Het Sectoraal Comité geeft als aanbeveling dat deze loggings op exacte wijze geassocieerd moeten kunnen worden met een referentiedatum en een referentietijdstip die toegekend worden door een onafhankelijke instantie zoals het eHealth-platform of elke andere instantie die dezelfde waarborgen biedt.
8 Beraadslaging nr. 07/034 van 4 september 2007 m.b.t. de mededeling van persoonsgegevens aan het Federaal Kenniscentrum voor de Gezondheidszorg met het oog op het onderzoek 2007-16-HSR “Onderzoek naar mogelijke financieringsmechanismen voor het geriatrisch dagziekenhuis”.
9 Referentiemaatregelen voor de beveiliging van elke verwerking van persoongegevens, opgemaakt door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, te vinden op:
http://www.privacycommission.be/nl/static/pdf/referenciemaatregelen-vs-01.pdf
16. Het ziekenhuis moet bovendien de lijst van de categorieën van personen die door het ziekenhuis werden aangeduid om toegang te krijgen tot de persoonsgegevens evenals een duidelijke beschrijving van hun rol bij de gegevensverwerking, ter beschikking houden van het Sectoraal Comité.
IV. BESLUIT
17. Het Sectoraal Comité is van oordeel dat het Centre Hospialier Universitaire van Luik het verzoek van een patiënt om kennis te nemen van de identiteit van de personen die toegang hebben gehad tot zijn dossier en van de datum waarop deze toegang heeft plaatsgevonden, kan inwilligen.
Yves ROGER Voorzitter
De zetel van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid is gevestigd in de kantoren van de Kruispuntbank van de Sociale Zekerheid, op het volgende adres: Sint-Pieterssteenweg 375 – 1040 Brussel (tel. 32-2-741 83 11).
